Sono state recentemente scoperte dal Team82 di Claroty gravi vulnerabilità nello switch industriale Planet WGS-804HPT, ampiamente utilizzato nei sistemi di automazione di rete per edifici e abitazioni. Queste vulnerabilità potrebbero esporre a gravi rischi la sicurezza di rete, ma grazie a tecniche avanzate di emulazione, i ricercatori Claroty sono riusciti a individuare e mitigare tali minacce.
Emulatori come il framework open-source e multipiattaforma QEMU sono strumenti inestimabili per i ricercatori che conducono studi sulle vulnerabilità. QEMU e altri emulatori rappresentano ambienti ideali per l’analisi di software e firmware, consentendo di individuare vulnerabilità sfruttabili e testare exploit in un ambiente sicuro.
Per il Team82, QEMU e altre piattaforme di emulazione sono la base per lo sviluppo di molte ricerche, soprattutto quando risulta difficile entrare in possesso del dispositivo “reale” che si desidera analizzare. I ricercatori Claroty hanno così utilizzato QEMU per emulare i principali componenti di sistema dello switch WGS-804HPT di Planet Technology Corp, avviando così un’analisi approfondita del dispositivo.
Gli switch WGS-804HPT sono comunemente impiegati nei sistemi di automazione di rete, offrendo connettività a dispositivi IoT, telecamere di sorveglianza IP e reti LAN wireless. Inoltre, il WGS-804HPT offre un’interfaccia di gestione via web e supporta il protocollo SNMP.
Alla ricerca di vulnerabilità
Uno dei primi passaggi in qualsiasi progetto di ricerca su dispositivi embedded è ottenere il contenuto del firmware installato sul dispositivo target. Il firmware è fondamentale perché contiene i componenti essenziali di un dispositivo funzionante, senza di esso il dispositivo sarebbe inutile.
Questi componenti includono:
- Configurazioni di sistema
● Sistema operativo (kernel)
● File system
L’analisi condotta dal Team82 ha permesso di individuare tre vulnerabilità critiche, che potrebbero consentire a un attaccante di eseguire codice dannoso da remoto. Le vulnerabilità individuate includono:
- Overflow del buffer
- Integer Overflow
- Injection nei comandi del sistema operativo
Per comprendere i possibili danni causabili da un potenziale attacco, i ricercatori Claroty hanno simulato un exploit che sfrutta queste vulnerabilità per eseguire codice da remoto sul dispositivo. Questo permetterebbe non solo di controllare il dispositivo da remoto, ma anche di utilizzarlo come via preferenziale per muoversi all’interno della rete e sfruttare altri dispositivi presenti al suo interno.
Le vulnerabilità individuate sono state divulgate privatamente a Planet Technology, azienda produttrice dello switch WGS-804HPT con sede a Taiwan. Planet Technology ha prontamente affrontato i problemi di sicurezza e ha consigliato agli utenti di aggiornare il firmware alla versione 1.305b241111.
